行业新闻与博客

即将到期的根证书意味着将有三分之一的 Android 设备被数以百万计的受我们保护的网站阻止

新的一年即将来临，随之而来的是让我们加密证书用户的不幸消息。从 2021年1月开始，将降低与 Let's Encrypt 证书的兼容性，从而影响网站所有者和用户。 

迫在眉睫的问题是“让我们的加密”不再与第三方根证书交叉签名的结果。由于此切换，将阻止某些网站访问者访问使用 Let's Encrypt 保护的网站，并且会收到类似于以下内容的错误消息：

用户访问网站时当然不会喜欢看到它。同样，网站所有者不希望出现任何会对其页面的安全性和信任度产生怀疑的内容。 

那么，究竟是什么导致了这一轮事件呢？谁将受到更改的影响？站点所有者可以做些什么来减轻损失？

为什么要发行？

该问题的起源可以追溯到 2015年，当时互联网安全研究小组（ISRG）及其合作伙伴创立了 Let's Encrypt。由于所有主要浏览器和操作系统都可能需要花费数年时间才能拥有自己的根证书，因此他们将证书与现有 CA 的受信任根交叉签名。这是新 CA 的典型操作过程，在这种情况下，Let's Encrypt 附带了 IdenTrust 及其 DST Root X3 证书。

这样一来，Let's Encrypt 就可以立即开始颁发证书，这些证书也将在整个 Internet 上得到信任。但是，快进到今天，IdenTrust DST Root X3 越来越接近其 2021年9月30日的到期日期。 

我们让 Encrypt 确实尝试为此过期事件做准备，发行自己的根证书 ISRG Root X1。但是，不幸的是，它还没有像他们的即将成为 IdenTrust 根的人那样完全信任。 

尽管如此，Let's Encrypt 仍将在 2021年1月11日开始发布链接到其 ISRG Root X1 证书的根证书。由于他们自己的根目录不具有 IdenTrust 根目录的广泛信任，因此，某些较旧平台上的用户将无法访问任何使用 Let's Encrypt SSL / TLS 证书的网站。 

到底是谁受到影响？

好消息是，此问题主要影响较旧的平台，但坏消息是，仍有大量人使用它们。

受影响最严重的人群是所有使用 Android 7.1.1 或更早版本的人。您可能想知道是否有人仍在使用这样的旧版本，答案可能会让您感到惊讶-目前，所有 Android 设备中有 33.8％的设备正在运行它们。每当他们访问受我们加密保护的站点（当前有 2.25 亿个域属于此类别）时，他们都会遇到证书错误和警告屏幕，就像我们在上面看到的那样。

“让我们加密”很难找到自己的位置，考虑到行业的性质，这是可以理解的。软件更新周期的缓慢可能是很慢的，尤其是对于 Android 操作系统而言。这并不是什么新鲜事物，原因很难补救。 

明确地说，这里的根本问题不是让我们加密的错-真正的问题是许多平台的软件更新速度慢。

制造商和 / 或移动运营商经常在将操作系统加载到自己的设备上并将其传递给最终用户之前对其进行修改。因此，当 Google 向 Android 发布更新时，制造商和运营商不能简单地将更新推给他们的客户。他们必须回去并将这些更改合并到自己的专有软件版本中。大多数时候，尤其是对于除最新设备以外的所有设备，它们只是没有。在某些情况下，电话硬件甚至可能无法运行较新的软件版本。这就是为什么我们目前拥有数百万个带有过时操作系统的 Android 设备的原因。 

较早的 Java 版本也受根更改的影响。使用 1.8.0_141-b15 之前的 Java 版本的所有客户端在遇到“让我们加密”证书时都会收到警告和 / 或错误。

到目前为止，这些是我们所了解的主要内容，但是正如我们之前在 root 到期中所看到的那样，其他平台可能会出现更多的兼容性问题。 

建议措施

站点所有者可以使用几种不同的选项来减轻根到期的影响。首先，您可以警告使用旧版 Android 的访问者，他们需要在升级之前使用您的网站。由于它依赖于自己的（并定期更新）根证书列表，而不是操作系统的根证书列表，因此他们可以升级 Android 或将其浏览器切换到 Firefox Mobile。 

尽管从理论上讲这是一个很好的补救措施，但它也不大可能有效，因为大多数用户都不想为升级设备或切换浏览器访问网站而烦恼。 

您也可以停止支持旧版本。但是，这可能导致用户沮丧，支持请求增加以及流量减少导致的收入损失。 

使用 ACME 的网站所有者可以修改其客户端设置，以继续使用交叉签名的“让我们加密”证书。但是，这将一直持续到 2021年9月。它可以为您提供一些时间来制定长期解决方案。 

不需要用户采取任何措施的最实际的解决方案是，切换到具有所有主要平台（包括较旧系统）信任的无处不在的根的 CA。来自受信任的权威机构的证书已经使用了他们自己的受信任根多年，并使用他们自己的较早的根进行交叉签名以确保完全兼容。

提示：如果不确定这将如何影响您的网站用户，可以使用 Google Analytics（分析）来确定有多少网站用户使用的是 Android 7.1.1 或更早版本。使用这些旧版本的 Android 的用户每月访问我们的网站的次数大约为 4,000，但其影响可能会因您的网站目标受众而异。 

向前进

让我们加密将在短短一个月内开始使用其不受信任的新根，因此最好弄清楚如何尽快进行。特别是因为将近三分之一的 Android 设备将受到影响。没有选择是完美的。您可以让用户承担责任，但是您要依靠他们来升级他们的设备，否则将被阻止访问您的网站。或者，您可以切换到具有在新旧设备上都完全受信任的根的 CA。最终需要付出一些努力，但是要维持与用户群的信任并摆脱麻烦，这似乎是一个很小的代价。无论哪种方式，请确保您已为 1月11日做好准备！

非常感谢您对亚洲注册的支持与信任！

禁止转载